حوكمة الأمن السيبراني: طريق إلى النضج السيبراني
تحتاج جميع المؤسسات إلى برامج حوكمة الأمن السيبراني بحيث يفهم كل موظف ويدرك جهود التخفيف من الأمن السيبراني لتقليل المخاطر السيبرانية. في بيئة تهديدات متزايدة الصعوبة ، تكافح العديد من المنظمات في تنفيذ وفرض حوكمة فعالة للأمن السيبراني.
يوضح الرسم البياني “إدارة مخاطر الأمن السيبراني: أزمة ثقة” من قبل معهد CMMI و ISACA أنه “بينما يدرك قادة المؤسسات أن الأمن السيبراني الناضج ضروري للازدهار في الاقتصاد الرقمي اليوم ، فإنهم غالبًا ما يفتقرون إلى الرؤى والبيانات لراحة البال أن مؤسساتهم تدير المخاطر الإلكترونية بكفاءة وفعالية “. كما يُظهر أن الأضرار الناجمة عن الجرائم الإلكترونية من المتوقع أن تكلف العالم 6 تريليونات دولار سنويًا بحلول عام 2021 ، ارتفاعًا من 3 تريليونات دولار في عام 2015 ، وفقًا لـ Cybersecurity Ventures ، في حين أن 87٪ من المتخصصين في C Suite وأعضاء مجلس الإدارة يفتقرون إلى الثقة في قدرات الأمن السيبراني لشركتهم.
كيف ، إذن ، يمكن لقادة مجلس الإدارة أن يثقوا في هذا المشهد غير المؤكد لكوفيد -19 وأن مؤسساتهم مستعدة؟ يتمثل أول طلب عمل لمعظم المؤسسات في تمكين برنامج حوكمة قوي للأمن السيبراني.
فهم حوكمة الأمن السيبراني
تشير حوكمة الأمن السيبراني إلى مكون حوكمة المنظمة الذي يعالج اعتمادها على الفضاء السيبراني في وجود الخصوم. يعرّف معيار ISO / IEC 27001 ، من المنظمة الدولية للتوحيد القياسي (ISO) واللجنة الكهروتقنية الدولية (IEC) ، حوكمة الأمن السيبراني على أنها “النظام الذي توجه المنظمة من خلاله وتتحكم في إدارة الأمن ، ويحدد إطار المساءلة ويوفر الإشراف على ضمان التخفيف من المخاطر بشكل مناسب ، بينما تضمن الإدارة تنفيذ الضوابط للتخفيف من المخاطر “.
تقليديًا ، يُنظر إلى الأمن السيبراني من خلال عدسة مسألة فنية أو تشغيلية يتم التعامل معها في مجال التكنولوجيا. يحتاج الأمن السيبراني إلى الانتقال من وظيفة تشغيلية في المكتب الخلفي والانتقال إلى منطقته الخاصة بما يتوافق مع القانون والخصوصية ومخاطر المؤسسة. يجب أن يكون لكبير مسؤولي أمن المعلومات (CISO) مقعدًا على الطاولة جنبًا إلى جنب مع CIO ، COO ، CFO والمدير التنفيذي. سيمكن هذا الانتقال المكون الأقوى في أي برنامج حوكمة للأمن السيبراني – “النغمة في القمة”.
سيساعد ذلك C-suite على فهم الأمن السيبراني باعتباره قضية إدارة مخاطر على مستوى المؤسسة – إلى جانب الآثار القانونية للمخاطر السيبرانية – وليس مجرد مشكلة تقنية. على التوالي ، يمكن لـ C-suite بعد ذلك تحديد النغمة المناسبة للمؤسسة ، والتي تعد حجر الزاوية في أي برنامج حكم جيد. إن تحديد النغمة الصحيحة في الأعلى هو أكثر بكثير من مجرد تمرين امتثال. إنه يضمن أن يعمل الجميع وفقًا للخطة ، كفريق واحد ، لتقديم أنشطة الأعمال وضمان حماية الأصول في سياق استراتيجية إدارة المخاطر والأمن.
تاريخياً ، كان الأمن السيبراني يُدار من خلال تنفيذ حل لحل مشكلة أو التخفيف من المخاطر. تمتلك العديد من إدارات الأمن السيبراني وسائل حماية أمنية تقنية ، مثل جدران الحماية أو كشف التسلل ، ولكنها غالبًا ما تفتقر إلى سياسات وعمليات إدارة الأمن السيبراني الأساسية. حيثما وجدت ، غالبًا ما تكون السياسات أو العمليات قديمة أو يتم تجاهلها.
بالإضافة إلى ذلك ، فإن العديد من إدارات الأمن السيبراني لديها برامج تدريب وتوعية ضعيفة أو غير كافية لمؤسسات الأمن السيبراني والتي تفشل في التعامل مع جميع مستويات المؤسسة. كما تعلمنا من العديد من الانتهاكات الأخيرة ، فإن المنظمات لديها برامج تصلب وترقيع غير كافية. ممارسات التحكم في الوصول الضعيفة ، مثل كلمات مرور المجموعة غير الخاضعة للرقابة ، والحسابات المشتركة ، وامتيازات المسؤول المنتشرة ، والوصول المشترك إلى الجذر ، وغياب عملية التفويض (باستثناء المستوى التشغيلي المنخفض) هي أيضًا مشكلة.
ست خطوات يجب على المنظمات اتباعها لبرنامج حوكمة الأمن السيبراني
فيما يلي ست خطوات يمكن أن تساعد المؤسسة على النمو وصقل برنامج حوكمة الأمن السيبراني الخاص بها:
حدد الوضع الحالي.
أكمل تقييم المخاطر الإلكترونية لفهم الثغرات وإنشاء خارطة طريق لسد تلك الفجوات.
أكمل تقييم النضج.
إنشاء / مراجعة / تحديث جميع سياسات ومعايير وعمليات الأمن السيبراني.
يصف الكثيرون هذا بأنه “فاكهة معلقة منخفضة” ، وهو كذلك ، لكنه رفع ثقيل. خذ الوقت اللازم لإنشاء هيكل وتوقعات حوكمة الأمن السيبراني.
تعامل مع الأمن السيبراني من منظور المؤسسة.
افهم ما هي البيانات التي يجب حمايتها.
كيف تتماشى المخاطر السيبرانية مع إدارة مخاطر المؤسسة؟
ما هي الأولوية النسبية للاستثمار في الأمن السيبراني مقارنة بأنواع الاستثمارات الأخرى؟
زيادة الوعي والتدريب في مجال الأمن السيبراني.
افهم أنه مع COVID-19 ، لم نعد نقوم فقط بتدريب موظفينا. مع وجود الكثير من الأشخاص الذين يعملون من المنزل والعديد من الأطفال يذهبون إلى المدرسة على الإنترنت
من الأهمية بمكان أن تفهم الأسرة بأكملها النظافة الإلكترونية الجيدة.
تحليلات المخاطر السيبرانية: كيف يتم نمذجة التهديدات ووضع سياق للمخاطر وتقييمها؟
عند إنشاء نموذج المخاطر ، ضع في اعتبارك جميع المخاطر التي تتعرض لها مؤسستك – الخارجية والداخلية والطرف الثالث.
المراقبة والقياس والتحليل والإبلاغ والتحسين.
هذا ليس تمرينًا فرديًا. قم بإنشاء فترات تقييم منتظمة ، وقم بقياس ما يهم ، وقم بتحليل البيانات وإنشاء خطة تحسين.
تقديم تقرير إلى مجلس الإدارة حول النضج السيبراني وموقف المخاطر الإلكترونية عبر المؤسسة.
أخيرًا ، القيادة مهمة: حدد النغمة في القمة التي تجعل الأمن السيبراني وحوكمة الأمن السيبراني أولوية. ومع ذلك ، فإن القيادة ليست كل شيء. تعمل السياسات والمعايير والعمليات على مواءمة حوكمة الأمن السيبراني مع أولويات الأمن السيبراني بحيث لا يتغير التركيز مع تغير الموظفين.
تتجاوز حوكمة الأمن السيبراني الحدود التنظيمية
لا يمكن أن يعمل الأمن السيبراني في فراغ. تتطلب الطبيعة الموزعة للمخاطر الإلكترونية أن تتواصل جهود التخفيف عبر المؤسسة بأكملها. إشراك الجميع.